ibatis使用like进行模糊查询的时候，会有注入漏洞

看《ibatis in action》，里面提到了使用like进行模糊查询的时候，会有注入漏洞。举例说明如下：

?

Xml代码??

1. <select?id="getSchoolByName"?resultMap="result">??
2. ????select??
3. ??????????*??
4. ????from?tbl_school??
5. ????where?school_name?like?'%$name$%'??
6. </select>??

?Java代码??

1. public?List<School>?getSchoolByName(String?name)?throws?DataAccessException?{??
2. ????List<School>?list?=?(List<School>)getSqlMapClientTemplate().queryForList("getSchoolByName",name);??
3. ????return?list;??
4. }??

???? 测试用例：

Java代码??

1. @Test??
2. public?void?print(){??
3. ????????try{??
4. ????????????List<School>?list?=?schoolDao.getSchoolByName("长乐一中%'?or?'1%'?=?'1");??
5. ????????????for(School?school?:?list){??
6. ????????????????System.out.println(school.getName());??
7. ????????????}??
8. ????????}catch(Exception?e){??
9. ????????????e.printStackTrace();??
10. ????????}??
11. ????}??

??? 用p6spy查看最后生成的sql语句：

?

Sql代码??

1. sql1：select??*?from?tbl_school?where?school_name?like?'%长乐一中%'?or?'1%'?=?'1%'?????
2. ??
3. sql2：select??*?from?tbl_school?where?school_name?like?'%长乐一中%'?or?'1%'?=?'1%'??

???? 其中：sql1是ibatis放入preparedstatement执行的sql，sql2是jdbc执行的真正sql,在这个例子里二者一样的，因为在map里使用的占位符是$name$，ibatis遇到这样的占位符,就直接拼sql语句了，而不是用在sql中使用占位符再给sql set paramter(用#name#的话就是，但是不能用来搞模糊查询)。

?

??? 在实际项目中的后果就是：如果在页面上有个输入框，让用户输入学校名字，用户输入 长乐一中%' or '1%' = '1 的字样，那程序就会把所有的学校结果都列出来。实际上可能有一些学校已经被删除掉了(使用某个字段标记，假删除)，不想让用户再看到或者某些学校信息当前用户没有权限看到。

?

??? 在《ibatis in action》里，例举了这个注入漏洞一个更可怕的后果，删表。修改测试用例如下：

Java代码??

1. @Test?????
2. public?void?print(){??
3. ????????try{??
4. ????????????List<School>?list?=?schoolDao.getSchoolByName("长乐一中';drop?table?tbl_test;#");??
5. ????????????for(School?school?:?list){??
6. ????????????????System.out.println(school.getName());??
7. ????????????}??
8. ????????}catch(Exception?e){??
9. ????????????e.printStackTrace();??
10. ????????}??
11. ????}??

??? 用p6spy查看最后生成的sql语句：

Sql代码??

1. select?*?from?tbl_school?where?school_name?like?'%长乐一中';drop?table?tbl_test;#%'??
2. select?*?from?tbl_school?where?school_name?like?'%长乐一中';drop?table?tbl_test;#%'???

??? 在mysql中，#是注释符.复制以下sql代码在phpmyadmin中执行，tbl_test确实被删掉了。但是用ibatis执行这句sql却失败，debug了下ibatis的源代码，发现ibatis是用preparedstatement执行查询的。上面的是两个sql语句，但ibatis直接把“select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'”这句sql放进去执行，差不多下面这样：

Java代码??

1. String?sql?=?"select?*?from?tbl_school?where?school_name?like?'%长乐一中';drop?table?tbl_test;#%'"??
2. ??
3. PreparedStatement?ps?=?conn.prepareStatement(sql);??
4. ??
5. ps.execute();??

??? 这样的执行就会报错，也就删除不了tbl_test这张表了。。。奇怪了。。难道《ibatis in action》这书上讲错了？

??? 以上代码都是在ibatis2.3.4的环境下测试的。没试过以前的版本。。

?

??? 但是在使用ibatis的时候难道就不能like查询了？或者要在web层或者service层对用户的输入条件作一次过滤么？太麻烦了。还好ibatis提供的另一种占位符#在用PreparedStatement执行查询的时候，是用？作占位符，然后set paramter的。。把map里的sql语句改成这样吧：（参考了网上的sql语句）

Sql代码??

1. mysql:?select?*?from?tbl_school?where?school_name?like?concat('%',#name#,'%')??
2. ??
3. oracle:?select?*?from?tbl_school?where?school_name?like?'%'||#name#||'%'??
4. ??
5. SQL?Server:select?*?from?tbl_school?where?school_name?like?'%'+#name#+'%'?